ISO27001（ISMS）の内部監査とは？準備する物やポイントを解説

内部監査は、要求事項への適合性とISMSの有効性を評価するもの
ISMSの内部監査では、情報セキュリティに関するルールの適切性や運用状況などを確認することが大切

ISO27001は外部への情報流出リスクを対策し、安全に情報を管理するための規定です。認証を受けると、顧客などの利害関係者に情報管理ができていることの証明になります。

このISO27001の規定を理解するには、まずISMSとはどんなものなのかを知っておくことが必要です。この記事では、ISO27001とISMSの違いをはじめ、ISO27001の内部監査の目的とポイント、具体的な内部監査の手順についてご紹介します。

ISO27001（ISMS）の内部監査とは

ISO27001は、「資産を情報セキュリティリスクから守ること」を目的としています。そのため、ISMSについてPDCAのサイクルを回していくことが重視されています。情報の漏えいや改ざんを防ぐには、システム的な防止策のほか社員の教育も欠かせません。

そこで、内部監査部門を設け、定期的な内部監査員による監査が必要になるのです。

また、情報マネジメントシステムの詳細やリーダーが持つべき役割や責任など、情報セキュリティ計画を推進していくための計画の立て方や運用方法をしっかり規定することが重要です。さらに、社員に求められる知識やコミュニケーション方法、マネジメントレビューや監査といった評価手法や業務の改善に関わる内容も盛り込んでいきましょう。

ISO27001の内部監査を行う際は、管理すると決めた各情報資産が確実に守られているか確認することが重要です。デバイスや通信手段の多様化などにより、新たに情報セキュリティを脅かす要素がないか確認する良い機会になるでしょう。

さらに社内のメンバーが情報セキュリティの目的を十分に理解してルールを守っているか、評価することも必要です。

内部監査の目的

ISO27001内部監査の目的は、構築・運用しているISMSが「ISO27001の要求事項に適合しているか」「有効に機能しているか」を確認することです。

内部監査は、日常的な活動における問題点や課題を発見し、改善できる機会です。特に有効性は審査機関による実地審査では確認されない部分であるため、内部監査の際にしっかりと確認することが求められます。

有効性では、従業員がISO27001に取り組む意義を理解し、定められたルールを遵守しているかどうかを確認します。

ISO27001（ISMS）の内部監査に欠かせない準備する物一覧

ISO27001（ISMS）の内部監査に欠かせない準備する物を解説します。

内部監査計画

内部監査計画とは、内部監査を実施する前に作成する「監査方針」「対象部門」「監査範囲」「実施者」「監査項目」「監査の日時」などを文書化した書類のことです。

過去の内部監査報告書やリスク評価、経営者の方針などをもとに内部監査計画書を策定します。

内部監査チェックリスト

内部監査チェックリストとは、内部監査を実施する際に確認するポイントをまとめた表のことです。

チェックリストを用いながら内部監査を進行することで、内部監査の標準化や確認漏れの防止、作業効率化などのメリットが見込めます。

内部監査報告書

内部監査報告書とは、内部監査を実施後にその結果をまとめた書類のことです。

内部監査により発見された問題点や課題、提案された改善策などを記録したうえで、トップマネジメントにマネジメントレビューのインプットとして提出します。

ISO27001（ISMS）内部監査の進め方

ここでは、具体的にISO27001の内部監査の進め方を解説します。

1.内部監査の準備をする

ISO27001の内部監査は、管理責任者が作成した計画に準じて行われるのが一般的です。準備段階では、以下の内容を行います。

最新の規格や顧客要求を整理する
内部監査計画書の作成
内部監査チェックリストの作成・更新

特にデバイスや通信方法に新しいものが加わった場合は、それまでのチェックを継続してもセキュリティに穴が開いている可能性があります。内部監査の前に、文書類が最新の情報になっているか確認しましょう。

2.内部監査を実施する

内部監査は、「有効性」「適合性」の2つの観点から行います。具体的には、下記のようなポイントを評価していきます。

適切に情報資産が管理・保護されているか文書や運用の確認
新たに情報セキュリティを脅かす可能性がある要素はないか
社内のメンバーが情報セキュリティの必要性を理解してルールを守っているか

チェックリストをただ埋めるだけの監査ではなく、マネジメントシステムの実情に潜む課題を明らかにすることを心がけましょう。力量評価表の確認だけでなく、実際の担当者がどのように業務にあたっているか確認することも有効です。

3.監査内容を報告する

内部監査ののち、その内容を内部監査報告書にまとめてトップマネジメントに報告します。
もし監査内で課題となる内容が見つかれば、PDCAの考え方に基づきマネジメントレビューを行う必要があります。監査上不適合となった内容は、是正指示書を作成し、担当者など関連メンバーで対策を行った後、部門責任者や事務局で有効性の検証を行い、是正案件をクローズさせましょう。

ISO27001（ISMS）の内部監査が失敗する要因

内部監査がうまくいかないという企業は少なくありません。ここでは、ISO27001の内部監査が失敗する要因を解説します。

適切な事前準備ができていない

内部監査が弱まる要因の一つに、適切な事前準備ができていないことが挙げられます。内部監査の有効性を確保するためには、現在の問題点を早期発見することが必要です。しかし、準備ができていない、または適切でない場合には、チェック項目をただ確認するだけの儀式のような監査になってしまう可能性があります。

規格の要求事項や元々考えていた質問をただ順番通りに確認するだけでは、組織の現状に潜んでいる問題点を見つけることは難しいでしょう。
そのため、誰に、どこで、どのような質問をすると、内部監査の目的を満たしつつ、現場の問題点をくみ取ることができるのかをしっかりと考えることが必要です。

社内における関係悪化を懸念する

次に、社内における関係悪化を懸念することで、監査の有効性が弱まる可能性があります。それは、内部監査を行う従業員は、通常業務と内部監査人とを兼務していることが多くあるためです。

内部監査をされる従業員と日ごろから通常業務において接している場合、通常業務をスムーズに行いたいという心理から、今後の関係性を悪化させないようにと監査を甘くしてしまう傾向があるのです。例えば、ルールやマニュアルに対する不適切な行動があったとしても、適当な注意のみで済ませてしまうといったことです。

こうした関係性にあっても、監査の目的を達成できるように、内部監査人の教育を徹底することが必要です。

既存ルールを変更することへの抵抗感

また、既存ルールを変更することに対する抵抗感が、監査の有効性を弱める可能性があります。
いくら改善のためとはいえ、既存ルールを変更し、新しいルールを運用していくことに抵抗をもつ従業員もいるでしょう。また、内部監査人と実際に運用している部門との間に軋轢が生まれてしまったり、新しいルールが定着するまでの手間が億劫になってしまったりする可能性が考えられます。

こうした抵抗を減らすためには、新しいルールを実施することでどのような改善が見込めるのかを理解してもらう努力を行うことが必要です。

ISO27001（ISMS）内部監査を成功させるポイント

最後に、ISO27001（ISMS）内部監査を成功させるポイントを解説します。

粗探しではなく、改善のために実施する

できていない部分を粗探しする内部監査では、建設的な改善につながりません。被監査部門の従業員のモチベーションは下がり、ISO27001に対する嫌悪感さえ抱いてしまうかもしれません。

内部監査を成功させるには、あくまで「改善の機会」として取り組むことが重要です。
要求事項への適合性や有効性をチェックし、より良い運用を継続するための気づきが得られる機会と捉えましょう。
そのためには情報セキュリティマネジメントシステムに必要な機密性、完全性、可用性がビジネスのプロセスやマネジメント構造に組み込まれているか確かめることがおすすめです。

関連記事：「情報セキュリティの三要素」可用性・機密性・完全性をわかりやすく解説